這個進程是不可以從任務管理器中關掉的。
大多數的系統核心模式進程是作為系統進程在運行。
-------------------
Svchost.exe文件對那些從動態連接庫中運行的服務來說是壹個普通的主機進程名。Svhost.exe文件定位
在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要
加載的服務列表。這就會使多個Svchost.exe在同壹時間運行。每個Svchost.exe的回話期間都包含壹組服務,
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裏啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe組是用下面的註冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
每個在這個鍵下的值代表壹個獨立的Svchost組,並且當妳正在看活動的進程時,它顯示作為壹個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含壹個
或多個從註冊表值中選取的服務名,這個服務的參數值包含了壹個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
為了能看到正在運行在Svchost列表中的服務。
開始-運行-敲入cmd
然後在敲入tlist-s(tlist應該是win2k工具箱裏的冬冬)
Tlist顯示壹個活動進程的列表。開關-s顯示在每個進程中的活動服務列表。更多的關於 進程的信息,可以敲tlistpid。
Tlist顯示Svchost.exe運行的兩個例子。
0SystemProcess
8System
132smss.exe
160csrss.exeTitle:
180winlogon.exeTitle:NetDDEAgent
208services.exe
Svcs:AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220lsass.exeSvcs:Netlogon,PolicyAgent,SamSs
404svchost.exeSvcs:RpcSs
452spoolsv.exeSvcs:Spooler
544cisvc.exeSvcs:cisvc
556svchost.exeSvcs:EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580regsvc.exeSvcs:RemoteRegistry
596mstask.exeSvcs:Schedule
660snmp.exeSvcs:SNMP
728winmgmt.exeSvcs:WinMgmt
852cidaemon.exeTitle:OleMainThreadWndName
812explorer.exeTitle:ProgramManager
1032OSA.EXETitle:Reminder
1300cmd.exeTitle:D:\WINNT5\System32\cmd.exe-tlist-s
1080MAPISP32.EXETitle:WMSIdle
1264rundll32.exeTitle:
1000mmc.exeTitle:DeviceManager
1144tlist.exe
在這個例子中註冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost:
netsvcs:Reg_Multi_SZ:EventSystemIasIpripIrmonNetmanNwsapagentRasautoRasmanRemoteaccessSENSSharedaccessTapisrvNtmssvc
rpcss:Reg_Multi_SZ:RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的壹部分。csrss代表客戶/服務器運行子系統而且是壹個基本的子系統
必須壹直運行。csrss負責控制windows,創建或者刪除線程和壹些16位的虛擬MS-DOS環境。
explorer.exe
這是壹個用戶的shell(我實在是不知道怎麽翻譯shell),在我們看起來就像任務條,桌面等等。這個
進程並不是像妳想象的那樣是作為壹個重要的進程運行在windows中,妳可以從任務管理器中停掉它,或者重新啟動。
通常不會對系統產生什麽負面影響。
internat.exe
這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置
HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加載內容的。
internat.exe加載“EN”圖標進入系統的圖標區,允許使用者可以很容易的轉換不同的輸入點。
當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是壹個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成壹個進程。這個進程是
通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。
mstask.exe
這個進程是不可以從任務管理器中關掉的。
這是壹個任務調度服務,負責用戶事先決定在某壹時間運行的任務的運行。
smss.exe
這個進程是不可以從任務管理器中關掉的。
這是壹個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,
包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變量作出反映。在它啟動這些
進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麽
不可預料的事情,smss.exe就會讓系統停止響應(就是掛起)。
spoolsv.exe
這個進程是不可以從任務管理器中關掉的。
緩沖(spooler)服務是管理緩沖池中的打印和傳真作業。
service.exe
這個進程是不可以從任務管理器中關掉的。
大多數的系統核心模式進程是作為系統進程在運行。
SystemIdleProcess
這個進程是不可以從任務管理器中關掉的。
這個進程是作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。
taskmagr.exe
這個進程是可以在任務管理器中關掉的。
這個進程就是任務管理器。
winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。
winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化。
系統進程詳解~~~~判斷木馬的貼心丸!!!(4043字)雨浪飄零(279828)於2003/06/27(14:04:29)..
最基本的系統進程(也就是說,這些進程是系統運行的基本條件,有了這些進程,系統就能正常運行):
smss.exeSessionManager
csrss.exe子系統服務器進程
winlogon.exe管理用戶登錄
services.exe包含很多系統服務
lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序。(系統服務)產生會話密鑰以及授予用於交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務)
svchost.exe包含很多系統服務
svchost.exe
SPOOLSV.EXE將文件加載到內存中以便遲後打印。(系統服務)
explorer.exe資源管理器
internat.exe托盤區的拼音圖標
.
.
附加的系統進程(這些進程不是必要的,妳可以根據需要通過服務管理器來增加或減少):
mstask.exe允許程序在指定時間運行。(系統服務)
regsvc.exe允許遠程註冊表操作。(系統服務)
winmgmt.exe提供系統管理信息(系統服務)。
inetinfo.exe通過Internet信息服務的管理單元提供FTP連接和管理。(系統服務)
tlntsvr.exe允許遠程用戶登錄到系統並且使用命令行運行控制臺程序。(系統服務)
允許通過Internet信息服務的管理單元管理Web和FTP服務。(系統服務)
tftpd.exe實現TFTPInternet標準。該標準不要求用戶名和密碼。遠程安裝服務的壹部分。(系統服務)
termsrv.exe提供多會話環境允許客戶端設備訪問虛擬的Windows2000Professional桌面會話以及運行在服務器上的基於Windows的程序。(系統服務)
dns.exe應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)
.
.
以下服務很少會用到,上面的服務都對安全有害,如果不是必要的應該關掉
tcpsvcs.exe提供在PXE可遠程啟動客戶計算機上遠程安裝Windows2000Professional的能力。(系統服務)
支持以下TCP/IP服務:CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。(系統服務)
ismserv.exe允許在WindowsAdvancedServer站點間發送和接收消息。(系統服務)
ups.exe管理連接到計算機的不間斷電源(UPS)。(系統服務)
wins.exe為註冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務。(系統服務)
llssrv.exeLicenseLoggingService(systemservice)
ntfrs.exe在多個服務器間維護文件目錄內容的文件同步。(系統服務)
RsSub.exe控制用來遠程儲存數據的媒體。(系統服務)
locator.exe管理RPC名稱服務數據庫。(系統服務)
lserver.exe註冊客戶端許可證。(系統服務)
dfssvc.exe管理分布於局域網或廣域網的邏輯卷。(系統服務)
clipsrv.exe支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe並列事務,是分布於兩個以上的數據庫,消息隊列,文件系統,或其它事務保護資源管理器。(系統服務)
faxsvc.exe幫助您發送和接收傳真。(系統服務)
cisvc.exeIndexingService(systemservice)
dmadmin.exe磁盤管理請求的系統管理服務。(系統服務)
mnmsrvc.exe允許有權限的用戶使用NetMeeting遠程訪問Windows桌面。(系統服務)
netdde.exe提供動態數據交換(DDE)的網絡傳輸和安全特性。(系統服務)
smlogsvc.exe配置性能日誌和警報。(系統服務)
rsvp.exe為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。(系統服務)
RsEng.exe協調用來儲存不常用數據的服務和管理工具。(系統服務)
RsFsa.exe管理遠程儲存的文件的操作。(系統服務)
grovel.exe掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向壹個數據存儲點,以節省磁盤空間。(系統服務)
SCardSvr.exe對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
snmp.exe包含代理程序可以監視網絡設備的活動並且向網絡控制臺工作站匯報。(系統服務)
snmptrap.exe接收由本地或遠程SNMP代理程序產生的陷阱消息,然後將消息傳遞到運行在這臺計算機上SNMP管理程序(系統服務).
UtilMan.exe從壹個窗口中啟動和配置輔助工具。(系統服務)
msiexec.exe依據.MSI文件中包含的命令來安裝、修復以及刪除軟件。(系統服務)
.
.
詳細說明:
win2k運行進程
Svchost.exe
Svchost.exe文件對那些從動態連接庫中運行的服務來說是壹個普通的主機進程名。Svhost.exe文件定位
在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要
加載的服務列表。這就會使多個Svchost.exe在同壹時間運行。每個Svchost.exe的回話期間都包含壹組服務,
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裏啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe組是用下面的註冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
每個在這個鍵下的值代表壹個獨立的Svchost組,並且當妳正在看活動的進程時,它顯示作為壹個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含壹個
或多個從註冊表值中選取的服務名,這個服務的參數值包含了壹個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
為了能看到正在運行在Svchost列表中的服務。
開始-運行-敲入cmd
然後在敲入tlist-s(tlist應該是win2k工具箱裏的冬冬)
Tlist顯示壹個活動進程的列表。開關-s顯示在每個進程中的活動服務列表。如果想知道更多的關於
進程的信息,可以敲tlistpid。
Tlist顯示Svchost.exe運行的兩個例子。
0SystemProcess
8System
132smss.exe
160csrss.exeTitle:
180winlogon.exeTitle:NetDDEAgent
208services.exe
Svcs:AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220lsass.exeSvcs:Netlogon,PolicyAgent,SamSs
404svchost.exeSvcs:RpcSs
452spoolsv.exeSvcs:Spooler
544cisvc.exeSvcs:cisvc
556svchost.exeSvcs:EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580regsvc.exeSvcs:RemoteRegistry
596mstask.exeSvcs:Schedule
660snmp.exeSvcs:SNMP
728winmgmt.exeSvcs:WinMgmt
852cidaemon.exeTitle:OleMainThreadWndName
812explorer.exeTitle:ProgramManager
1032OSA.EXETitle:Reminder
1300cmd.exeTitle:D:\WINNT5\System32\cmd.exe-tlist-s
1080MAPISP32.EXETitle:WMSIdle
1264rundll32.exeTitle:
1000mmc.exeTitle:DeviceManager
1144tlist.exe
在這個例子中註冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost:
netsvcs:Reg_Multi_SZ:EventSystemIasIpripIrmonNetmanNwsapagentRasautoRasmanRemoteaccessSENSSharedaccessTapisrvNtmssvc
rpcss:Reg_Multi_SZ:RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的壹部分。csrss代表客戶/服務器運行子系統而且是壹個基本的子系統
必須壹直運行。csrss負責控制windows,創建或者刪除線程和壹些16位的虛擬MS-DOS環境。
explorer.exe
這是壹個用戶的shell(我實在是不知道怎麽翻譯shell),在我們看起來就像任務條,桌面等等。這個
進程並不是像妳想象的那樣是作為壹個重要的進程運行在windows中,妳可以從任務管理器中停掉它,或者重新啟動。
通常不會對系統產生什麽負面影響。
internat.exe
這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置
HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加載內容的。
internat.exe加載“EN”圖標進入系統的圖標區,允許使用者可以很容易的轉換不同的輸入點。
當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是壹個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成壹個進程。這個進程是
通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。
mstask.exe
這個進程是不可以從任務管理器中關掉的。
這是壹個任務調度服務,負責用戶事先決定在某壹時間運行的任務的運行。
smss.exe
這個進程是不可以從任務管理器中關掉的。
這是壹個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,
包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變量作出反映。在它啟動這些
進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麽
不可預料的事情,smss.exe就會讓系統停止響應(就是掛起)。
spoolsv.exe
這個進程是不可以從任務管理器中關掉的。
緩沖(spooler)服務是管理緩沖池中的打印和傳真作業。
service.exe
這個進程是不可以從任務管理器中關掉的。大多數的系統核心模式進程是作為系統進程在運行。
SystemIdleProcess
這個進程是不可以從任務管理器中關掉的。
這個進程是作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。
winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。
winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化
taskmagr.exe
這個進程呀,哈哈,就是任務管理器了
Ctfmon.exe提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持。控制AlternativeUserInputTextProcessor(TIP)和MicrosoftOffice語言條。
wuauclt.exe是系統的自動更新進程。